Пакет PyPI устанавливает криптомайнер на Linux-системы


Вредоносный пакет PyPI использовался для установки криптомайнера Monero на Linux-системы.

Пакет, о котором идет речь, secretslib, был размещен в официальном репозитории сторонних программ для Python 6 августа 2022 года. Пакет был описан как “secretslib” – “secrets matching and verification made easy”.

PyPI устанавливает криптомайнер на Linux

Автоматическая система обнаружения вредоносных программ Sonatype отметила secretslib как потенциально вредоносный. Дальнейший анализ подтвердил правильность ее подозрений.

“Пакет скрытно запускает криптомайнеры на вашей Linux-машине in-memory (непосредственно из оперативной памяти), эта техника в основном используется безфайловыми вредоносными программами и криптерами”, – написал в своем отчете исследователь Sonatype Акс Шарма.

Когда secretslib установлен, он загружает файл под названием tox, предоставляет ему разрешения на выполнение, запускает его с повышенными правами, а затем удаляет файл после завершения работы.

“Удаление исполняемого файла удаляет содержащуюся в нем отладочную информацию, которая в противном случае помогла бы реверс-инженеру лучше понять, что делает программа”, – объясняет Шарма.

Вредоносный код, запущенный tox, представляет собой криптомайнер, который добывает приватную монету Monero.

Тот, кто создал secretslib, использовал имя и информацию реального инженера-программиста, работающего в расположенной в Иллинойсе научной и инженерной исследовательской лаборатории Argonne National Laboratory (ANL). Многие сотрудники и помощники ANL в какой-то момент внесли законный вклад в реестр PyPI.

“Возможно, это побудило угрожающего субъекта использовать личность реального сотрудника; ввести пользователей в заблуждение и подмешать secretslib в один из законных и безопасных пакетов, ранее опубликованных исследователями ANL”, – теоретизирует Шарма.

К счастью, secretslib был загружен менее 100 раз, прежде чем его удалили.


Добавить комментарий